Бесплатно Экспресс-аудит сайта:

21.12.2021

Для Log4j вышло уже третье исправление

Проблемы с Log4j все никак не заканчиваются – организация Apache Software Foundation опять выпустила новую версию своей утилиты журналирования (2.17.0), исправляющую очередную уязвимость.

Уязвимость, получившая идентификатор CVE-2021-45105 (7,5 балла по шкале оценивания опасности CVSS), позволяет вызывать отказ в обслуживании (DoS). Проблема затрагивает все версии Log4j с 2.0- alpha1 до 2.16.0. Версия 2.16.0 была выпущена на прошлой неделе с целью исправления уязвимости удаленного выполнения кода ( CVE-2021-45046 ), которая в свою очередь возникла из-за недостаточно эффективного патча для уязвимости CVE-2021-44228 , также известной как Log4Shell.

«Версии Apache Log4j2 с 2.0-alpha1 до 2.16.0 не защищены от неконтролируемой рекурсии от самореференциальных поисков. Когда конфигурация журналирования использует нестандартный макет шаблона с поиском контекста (например, $$ {ctx: loginId}), злоумышленники, у которых есть контроль над входными данными Thread Context Map (MDC), могут создать вредоносные входные данные, содержащие рекурсивный поиск, что приведет к переполнению стека и завершению процесса», - сообщается в обновленном уведомлении безопасности Apache Software Foundation.

Уязвимость была обнаружена специалистом Akamai Technologies Хидеки Окамото и анонимным исследователем безопасности.

Проблема не затрагивает версии Log4j 1.x, но стоит помнить, что они уже устарели и больше не поддерживаются разработчиками. То есть, все уязвимости, обнаруженные в утилите после августа 2015 года, остаются неисправленными.